Chrome: svelati nuovi dettagli sull’hackeraggio di 35 estensioni

Recentemente una campagna di phishing, che ha portato alla compromissione di 35 estensioni per Chrome, ha colpito diversi sviluppatori. Questa campagna aveva lo scopo di rubare i dati delle vittime. Sebbene i primi report si siano concentrati sull'estensione della società di sicurezza Cyberhaven, indagini successive hanno rivelato che lo stesso codice era stato iniettato in altre estensioni utilizzate da circa 2.600.000 utenti. Dai report su LinkedIn e Google Groups degli sviluppatori presi di mira, l'ultima campagna è iniziata intorno al 5 dicembre 2024. L'attacco inizia con un'e-mail di phishing inviata direttamente agli sviluppatori di estensioni di Chrome o tramite un'e-mail di supporto associata al loro nome di dominio. Come riportato dal sito di BleepingComputer, i domini utilizzati in questa campagna per inviare le e-mail di phishing sono: “supportchromestore.com”, “forextensions.com” e “chromeforextension.com”.

L'email di phishing, che viene fatta apparire come se provenisse da Google, afferma che l'estensione viola le policy del Chrome Web Store e rischia di essere rimossa. Lo sviluppatore dell'estensione è portato a credere che la descrizione del suo software contenga informazioni fuorvianti e deve accettare le policy del Chrome Web Store. Se questo clicca sul pulsante incorporato "Vai alla policy", viene indirizzato a una pagina di accesso legittima sul dominio di Google per un'applicazione OAuth dannosa. Quest’ultima, denominata "Privacy Policy Extension" chiede alla vittima di concedere l'autorizzazione a gestire le estensioni del Chrome Web Store tramite il proprio account. L'autenticazione a più fattori non aiuta a proteggere l'account poiché non sono richieste approvazioni dirette nei flussi di autorizzazione OAuth. Inoltre, il processo presuppone che l'utente comprenda appieno l'ambito delle autorizzazioni che sta concedendo.

Chrome: hacker hanno pre-registrato domini per le estensioni da colpire

Una volta che gli hacker ottengono l'accesso all'account dello sviluppatore, modificano l'estensione per includere due file dannosi. Si tratta di "worker.js" e "content.js", che contenevano codice per rubare dati dagli account Facebook. L'estensione dirottata è stata quindi pubblicata come una "nuova versione" sul Chrome Web Store. Secondo VirusTotal, gli autori della minaccia hanno pre-registrato domini per le estensioni prese di mira, anche se non sono caduti nell'attacco. Inoltre, anche se la maggior parte dei domini è stata creata a novembre e dicembre, la redazione di BleepingComputer ha scoperto che gli hacker stavano testando questo attacco a marzo 2024.

L'analisi delle macchine compromesse ha mostrato che gli aggressori erano alla ricerca degli account Facebook degli utenti delle estensioni colpite. In particolare, il codice di furto di dati ha tentato di impossessarsi dell'ID Facebook dell'utente, del token di accesso, delle informazioni dell'account, delle informazioni dell'account pubblicitario e degli account aziendali. Inoltre, il codice dannoso ha aggiunto un listener di eventi di clic del mouse specificamente per le interazioni della vittima su Facebook.com. Ciò serviva per cercare immagini di codici QR correlate ai meccanismi di autenticazione a due fattori o CAPTCHA della piattaforma. Ciò mirava a bypassare le protezioni 2FA sull'account Facebook e consentire agli autori della minaccia di dirottarlo.

Le informazioni rubate sarebbero state raccolte insieme ai cookie di Facebook, alla stringa dell'agente utente, all'ID Facebook e agli eventi di clic del mouse ed esfiltrate nel server di comando e controllo (C2) dell'aggressore. Gli autori della minaccia hanno preso di mira gli account aziendali di Facebook tramite vari percorsi di attacco per effettuare pagamenti diretti dal credito della vittima al suo account. Inoltre, gli hacker hanno usato i dati per campagne di disinformazione o phishing sulla piattaforma social o monetizzare il loro accesso vendendolo a terzi.